כך פועל חמ"ל הסייבר הלאומי

חשיפה ראשונה של החמ"ל המכונה CERT 1.0. ניר פלג, ראש אגף בכיר במטה הסייבר במשרד רוה"מ, מגלה כיצד יעבוד החמ"ל בשיתופי פעולה בינלאומיים, ועם חברות אזרחיות. "זה שעברנו את 'צוק איתן' בשלום לא אומר כלום. אנחנו צריכים להיות מוכנים לאיומים שמעבר לפינה"

"בעולם הסייבר, הגבולות הם מטושטשים, והנושא של שיתוף פעולה בקצב מהיר הוא קריטי", אומר ניר פלג, כשהוא מציג בפעם הראשונה את חמ"ל הסייבר הלאומי, שהוקם בגרסת הרצה במהלך חודש אוגוסט 2014. בשלב הזה, ממוקם חמ"ל הסייבר הלאומי, באופן פיסי, בתוך חדר לא גדול במטה הסייבר הלאומי, בבניין משרדים היי-טקיסטי שגרתי בצפון תל אביב. מחוץ לבניין אין שום שלט שיעיד על הפעילות שמתרחשת בו. בעוד כשנה, כבר ישכון החמ"ל בתוך "סיייברספארק" (סביבת הסייבר, שמשלבת חממות טכנולוגיות, חברות סטרטאפ, חברות IT ותיקות, את אוניברסיטת בן גוריון, ובעתיד גם את יחידות אגף המודיעין ואגף התקשוב בצה"ל, שיעברו לדרום). החמ"ל יעסיק עשרות אנשי מחשבים, ויעבוד מסביב לשעון.

האיומים מוחשיים: ניר פלג מספר כי במהלך מבצע "צוק איתן" , למשל, הייתה ישראל נתונה למתקפה קיברנטית בלתי פוסקת. המתקפה תפסה את חמ"ל הסייבר בדיוק בשלבי ההקמה של גרסת ההרצה, המכונה CERT 1.0. "רואים את המגמה של גידול בהתקפות על ישראל כמדינה ועל אתרים ישראליים", אומר פלג. "רואים גם את הגיוון של ההתקפות. ראינו ב'צוק איתן', שהייתה מערכה ארוכה, הרבה מאוד ניסיונות תקיפה, ואני חושב שהאתגרים הגדולים עוד לפנינו, כי מדובר במרחב לחימה מתפתח, א-סימטרי, ללא גבולות. שיתוף הפעולה צריך להיות בינלאומי, וגם מקומי, בין חברות וארגונים. רק כך ניתן יהיה להתמודד מול מגוון רחב של איומים קיברנטיים, שהולך וגדל כל הזמן.

"המרחב הזה נמצא בסיכון נמוך מבחינת התוקפים. היכולת לתפוס אותם ולפגוע בהם, כמו בעולם הפיסי ,היא מוגבלת. זה מעודד את התוקפים להמשיך ולתקוף. עם זאת, למרות שהיו הרבה תקיפות ב'צוק איתן', בסופו של דבר לא היו אירועים מאוד חיוגים, או כאלה שהשפיעו על הרציפות התפקודית ברמה המדינתית. זה יכול להגיד משהו על המצב הקיים אצלנו, שבאזורים מסוימים נותן מענה טוב, אבל אנחנו לא מסתכלים על האיומים של היום, אלא גם על אלה שמצפים לנו בעוד שנתיים – שלוש".

מטה סייבר לאומי

מטה הסייבר הלאומי, שהוקם בתחילת שנת 2012 על ידי ראש הממשלה, פועל בתפר שבין החשאי לגלוי, אם כי עיקר פעילותו במגזר האזרחי. בראש המטה עומד ד"ר אביתר מתניה, שהיה בעברו מפקד מסלול "תלפיות" בחיל האוויר (מסלול שאותו התחיל כ"תלפיון" בעצמו) ואיש המנהל לפיתוח אמצעי לחימה ותשתיות במשרד הביטחון (מפא"ת).

המטה משתמש בתקציב ממשלתי ייעודי מתוך מטרה לטפח תעשיית סייבר ישראלית כמנוף מרכזי בכלכלה, וכן כדי למנף פעילויות לקידום החינוך וההכשרות לסייבר, מבתי הספר ועד האקדמיה. השנה הוקמו בסיוע המטה שני מרכזי מחקר לאומיים בתחום הסייבר, באוניברסיטת בן גוריון ובאוניברסיטת תל אביב. מאז הקמת המטה, גדל במאות אחוזים מספר תלמידי התיכון הלומדים במסלולי סייבר (מסלול "מגשימים" בשיתוף עם קרן רש"י ומשרד הביטחון, יגיע בקרוב ללא פחות מאלף תלמידים). הוקמו יותר מ-100 חברות סטרט-אפ (שרבות מהן כבר גייסו השקעות בשווי מיליוני דולרים כל אחת, מהארץ ומהעולם). בכנס סייברטק, שאורגן על ידי ישראל דיפנס בחודש ינואר, אמר ראש הממשלה, בנימין נתניהו, כי מטה הסייבר הלאומי מקדם את החזון שלו, וכי ישראל היא מעצמת סייבר עולמית. לדברי ניר פלג, הקמת חמ"ל הסייבר הלאומי, כחלק מן המטה, נועדה לשפר גם את ההגנה מפני תקיפות קיברנטיות, ברמה הלאומית.

איך זה יעבוד?

"במסגרת פעילות מטה הסייבר הלאומי, גובשה תפיסה שהיא תלת שכבתית להגנה הלאומית: בשכבה הראשונה, אנחנו מדברים על חיזוק האבטחה הארגונית, כשהדגש שם זה כלי רגולציה ושיפור רמת המוגנות של הארגונים השונים. "השכבה השנייה היא מדינתית, והשכבה שלישית עוסקת בשיתוף פעולה בינלאומי, כי הסייבר הוא גלובלי. מפתחים קשרים בין מדינות, מול חברות בינלאומיות כולל חברות ומעצמות בתחום הסייבר, כמו גוגל, מיקרוסופט ואחרות, כדי לייצר איתם פוטנציאל לשיתופי פעולה והחלפת מידע".

פלג משמש כראש אגף בכיר במטה, האחראי על טיפוח וקידום טכנולוגיות, כולל הקמת ה-CERT 1.0. פלג מספר כי רעיון החמ"ל לקוח מעולמות לא קיברנטיים, וכי למעשה מדובר בצוות מקרים ותגובות ברמה הלאומית (המונח CERT בא מראשי התיבות Cyber Emergency Respond Team).

כיצד משתלב ה-CERT בתפיסת ההגנה התלת-שכבתית?

"בשכבה המדינתית, ה-CERT הלאומי הוא פלטפורמה שאמורה להיות נקודה מרכזית אמינה, כדי לחלוק מידע, ולשתף באירועים קיברנטיים. יש לפלטפורמה יכולת ניתוח ועזרה ראשונית. היא מהווה גורם מקשר בין כתובות וגופים פנים מדינתיים שיודעים לפנות אליה, ועד לרמה של גופים גדולים וסקטורים. ברמה הבינלאומית, היא מהווה תשתית להחלפת מידע ולניהול משברים ואירועים בעלי אופי גלובלי.

"כשמסתכלים על האתגרים שיש לנו, המנחים בנייה של גוף כמו ה-CERT – אנו רואים שגרה תמידית של תקיפות מכל מיני גורמים – מעולם האקטיביסטים ועד לעולם הפשע הסייברי. קבוצות או מדינתיות או שליחים של מדינות – זה הציר הראשון של שגרת תקיפות. הציר השני קשור לחוסר הסימטריה של התוקף מול מגן: כלומר, קל לשכפל תקיפות, וניתן להגיע לפגיעה משמעותית בסקטורים שלמים.

"האתגר השלישי הוא קצב המורכבות והתלות של מרחב הסייבר. דברים קורים במרחב הסייבר מאוד מהר. לגבי מורכבות המערכות, הכוונה היא שבכל סוג של ארגון – מתעשייה כבדה ועד עולמות של היי-טק - התלות במערכות המחשוב היא מאוד מרכזית.
 
"תחת שלושת האתגרים, אנו חושבים שהמענה ברמה מדינתית הוא לעבור מעולם של מניעה והגנה על גבולות, להגברת החוסן הלאומי – כלומר, לפתח יכולת לעמוד במתקפות ולא לחכות להן באופן פסיבי רק עם 'פיירוול'.

"הסייבר הרי חי ונכנס לתוכנו, ולכן צריך לדעת לנהל את הסיכונים בעולם הזה. דבר נוסף זה לבנות מרחבי שיתוף פעולה ומידע שהם אמינים – ובצורה מאובטחת.

"הכיוון שלנו הוא ריכוז משאבים ויכולות לאומיות, שכן הממשלה יכולה להביא לצמצום מאזן האימה בין מגן לתוקף. החל מפלטפורמות בין ארגוניות, כמו לדוגמא ברמת הסקטור, וכלה ב-CERT לאומי – שמשמעותה השקעה של מדינה כדי לבנות תשתית כזאת שתיתן מענה לגופים אזרחיים.

"אנחנו לא המצאנו את ה-CERT. זה קיים כבר בעולם ומתקדם בצורה אינטנסיבית במספר מדינות. גם בהן, מדובר במרכז מדינתי למענה ראשוני וסיוע כאשר מתרחשים אירועים. ה-CERT האמריקאי, למשל, פועל כבר 11 שנה מגוון סקטורים, תחת המשרד להגנת המולדת, שאנחנו נמצאים אתו בקשר צמוד אתו.

"האיחוד האירופי גם נכנס לתחום – לאחר שכתב הנחייה לכלל מדינות אירופה להקים גופים כאלה, שיאפשרו שיתופי פועלה בין מדינתיים בתוך אירופה. רוב המדינות בנקודת הזמן הזו, או שיש להן כבר CERT או שהן בתהליך הקמה שלו. גם במזרח רואים את זה – ביפן ובקוריאה הדרומית יש מרכזי CERT פעילים. יש גם איגוד של מספר 'סרטים' בעולם שנקרא 'פירסט'".

גם לישראל יש הסכמים עם ה'סרטים' האחרים?

"כן, חלק ממה שאנחנו עושים בפיתוח השת"פ שלנו עם מדינות, קשור לפיתוח היכולת שלנו לשתף מידע, כמובן על בסיס אמון הדדי. לפעמים, צריך אפילו לפתח כלים מיוחדים להעברת המידע הזה. מעבר לכך, נערכות בין ה'סירטים' שיחות חודשיות על אירועים. יש סיכומים תקופתיים, ניתוחי אירועים משותפים. אלה יכולות שנבנות כל הזמן". ב

שנת 2014 פורסם על שיתופי פעולה חדשים בתחום הסייבר גם עם אנגליה ואיטליה. זה קשור גם לחילופי המידע ברמת ה-CERT הלאומי?

"כן, למדינות הידידותיות לנו, בדגש על ארה"ב, בריטניה ועוד מדינות באירופה, יש 'סרטים' משמעותיים. אנחנו בונים איתם שיתוף פעולה, שיאפשר לנו לנהל אירועים ולהגדיל את מרחב הזיהוי והראייה של האיומים, בצורה מאוד רוחבית ובינלאומית. בעולם הסייבר, אלה כללי המשחק. למשל, אחת הדוגמאות לשיתוף פעולה בינלאומי מהשנה האחרונה, קשור לחולשה שהתפרסמה ונקראת HEART BLEED. מדובר בחולשה מאוד מרכזית, שהשפיעה על כל התשתית של האינטרנט.

"למעשה, זוהי חולשת אבטחה במנגנון הצפנה, שהשתמשו בו תשתיות רחבות באינטרנט. בשלב הראשון, הגילוי הזה היה בפורום מאוד מצומצם (הגילוי נעשה על ידי חוקרים מחברה פינלנדית ומגוגל), וברגע שגדל מעגל השותפים שידעו על החולשה, היה צורך עולמי לפעול מאוד מהר. כי מרגע שיודעים על החולשה, אפשר לפתח כלי שפורץ סיסמאות בצורה רוחבית ומייצר אפשרות לגנוב פרטי מידע בצורה מסיבית מאתרים וממידע שקיים ברשת. בעצם, באותו רגע שהמידע הזה התגלה, 'סרטים' בעולם ניהלו קבוצות דיון וגיבשו עצות איך להתמודד עם החולשה. התחיל מרוץ נגד הזמן לסגור את הפרצה, לפני שתנוצל על ידי גורמי הפשע".

שת"פ עם חברות ענק

לדברי ניר פלג, שיתוף הפעולה הבינלאומי בא לידי ביטוי גם בימים שבהם יש התקפות DDOS מתואמות על מדינה מסוימת, למשל ההתקפות שמבוצעות על ידי ארגון אנונימוס במטרה לשתק את התעבורה ביעדים שמותקפים (ישראל מותקפת על ידי אנונימוס פעם בכמה חודשים, כולל התקפה בימי 'צוק איתן'). במקרה כזה, ה"סרטים" מהמדינות השונות יכולות לחלוק ביניהן מידע על שרתים שמהם יוצאות התקפות רבות. במידת הצורך, ה"סרטים" מערבים גורמי אכיפה או חברות תקשורת בעלות השרתים, כדי לסייע בבלימת ההתקפה מן השרתים האלה.

ה-CERT אינו נחשב גוף אכיפה, או גוף מנחה (כמו השב"כ למשל, שנותן הנחיות לכמה עשרות חברות תשתית לאומית שנחשבות קריטיות, כיצד להתגונן מפני התקפות סייבר), אבל כל גוף יכול לפנות אליו, להתייעץ ולקבל סיוע. גם אנשים פרטיים. פלד מספר כי לאחר שלב ההרצה של ה-CERT הלאומי, יעלה לאוויר אתר אינטרנט ובו מידע רחב על דרכי התגוננות, וגם מספר טלפון ישיר לחמ"ל הסייבר הלאומי, למקרה הצורך. "

בעצם , יש ל-CERT שלוש משפחות של סוגי שירותים – במשפחה הראשונה יש שירותים ריאקטיביים, שהם יותר תגובתיים, כלומר ניהול של אירועים. משפחה שנייה היא שירותים פרו-אקטיביים, שבהם ה-CERT פונה לארגון ביוזמתו ומוציא לו התראות.

"המשפחה השלישית היא של שירותי איכות תקשורתיים,, בעצם יצירת כלי ניהול סיכון וכלים לניתוח וסיוע ושיפור המודעות ברמת הארגונים, שעוזרים למדוד את עצמם, יוצרים יכולת להעריך את הארגון, לפני שהוא מותקף. "אלה כלים ומתודות שה-CERT מפתח כמוקד ידע, והוא אמור לעזור לארגונים בכך שהוא נותן להם כלים ויכולת להתמודד ולהעריך בצורה איכותית את מצבם בתחום ההגנה".

האם ה-CERT ירכוש שירותים מחברות קיימות בתחום הגנת הסייבר?
 
"מן הסתם, ה-CERT רוכש ידע ושירותים וגם בונה הסכמים ארוכי טווח עם חברות אסטרטגיות. ההסכמים מאפשרים נגישות ייחודית למאגרי מידע שלא כל גוף יכול להרשות לעצמו. באמצעות שיתופי הפעולה הבינלאומיים, נוצרת רשת שיתוף אמינה, שמאפשרת לחלוק מידע באירועים הגלובליים. ניהול המידע מול גופים שונים הוא בעל חשיבות עליונה, כי לא כל חברה או ארגון שמשתפים את ה-CERT במידע מסוים, מעוניינים שהוא יעבור הלאה. לכן, יש הסכמים לשיתופי ידע מול הגופים השונים חשיבות עליונה".

לדברי ניר פלג, במהלך שנת 2015 יחלו לפעול גם "סרטים" למגזרים יעודיים, שיפעלו בצמוד ל"סרט" הלאומי בבאר שבע. שני המגזרים הראשונים, שיהיה להם CERT משלהם, הם האנרגיה (בהובלת ראש תחום הביטחון במשרד האנרגיה, תמיר שניידרמן) ומגזר משרדי הממשלה. "אנחנו בתחילת תהליך האפיון של מרכז הגנה למגזר הממשלתי, בשיתוף עם התקשוב הממשלתי", אומר פלג. "המטרה היא לשרת בצורה רוחבית ומרכזית את כלל המשרדים. כיום, יש למשרדי הממשלה מערכת של 'ממשל זמין' שמסדירה את תחום השימוש באינטרנט, אבל אין מי שייתן מענה וסיוע באירועים פנימיים ברשת, בעיקר במשרדים הקטנים והבינוניים".

בימי "צוק איתן", נפלו בישראל אתרים, אבל בסך הכול עברנו את הלחימה במרחב הקיברנטי בשלום. אז אולי האיום הוא לא כל כך גדול?
 
"זה לא אומר כלום, אם עברנו אירוע אחד בשלום. בעולם הסייבר, קצב ההשתנות הוא אדיר, מהירים הרבה יותר מהיר מאשר הזמן שנדרש לפתח אמצעי לחימה כמו מטוסים, טילים ואיומים קינטיים אחרים. לכן, צריכים להיות מוכנים לאיומים שמחכים מעבר לפינה, ולא רק לאלה שכבר הופיעו בזירה".

You might be interested also